Trwają prace nad ustawą Prawo komunikacji elektronicznej, które zastąpi dotychczasową ustawę Prawo telekomunikacyjne. Jeden z artykułów wzbudza u wielu osób sporo kontrowersji z powodu zamieszczonych w nim informacji o dostępie 10 różnych służb do informacji o klientach telekomów i tym, co przesyłają między sobą.
Jak możemy przeczytać w uzasadnieniu do projektu ustawy Prawo komunikacji elektronicznej, prace nad nią wynikają z konieczności dostosowania polskiego prawodawstwa do dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (Dz. Urz. UE L 321 z 17.12.2018, str. 34, z późn. zm.). Dokument ten:
Cele ogólne Europejskiego kodeksu łączności elektronicznej to:
Jak to często bywa przy okazji nowych przepisów prawa, tu i ówdzie słychać głosy przeciwników, którzy widzą w nich nowe zagrożenia. Tym razem kontrowersje wzbudził art. 43 projektu ustawy Prawo komunikacji elektronicznej, gdzie w ust. 1 jest mowa o obowiązku przedsiębiorców telekomunikacyjnych do zapewnienia uprawnionym służbom dostępu i utrwalania różnych informacji o klientach telekomów i przesyłanych przez nich danych:
Art. 43. 1. Przedsiębiorca telekomunikacyjny, z wyjątkiem przypadków, o których mowa w przepisach wydanych na podstawie art. 46 ust. 1 pkt 2, jest obowiązany do:
1) zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, zwanych dalej „warunkami dostępu i utrwalania”, umożliwiających jednoczesne i wzajemnie
niezależne:a) uzyskiwanie przez Policję, Biuro Nadzoru Wewnętrznego, Straż Graniczną, Inspektorat Wewnętrzny Służby Więziennej, Służbę Ochrony Państwa, Agencję Bezpieczeństwa Wewnętrznego, Służbę Kontrwywiadu Wojskowego, Żandarmerię Wojskową, Centralne Biuro Antykorupcyjne i Krajową Administrację Skarbową, zwane dalej „uprawnionymi podmiotami”, w sposób określony w ust. 8, dostępu do informacji przesyłanych lub powstałych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej:
– komunikatów elektronicznych przesyłanych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej, nadawanych lub odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenie końcowe,
– danych abonentów związanych z komunikatami elektronicznymi przesyłanymi w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej,(...)
Przy tej okazji w sieci rozgorzał mały konflikt o... komunikaty elektroniczne. Krytycy nowej ustawy w wielu miejscach w sieci napisali o tym, że dzięki nowemu prawu służby będą mogły podglądać to, co klienci telekomów przesyłają sobie za pomocą komunikatorów internetowych. Ich przeciwnicy z kolei twierdzą, że tamci mylą komunikaty elektroniczne z komunikatorami. Prawda zapewne leży gdzieś po środku, bowiem – jak słusznie zauważa Niebezpiecznik.pl, nowe prawo nie pozwoli służbom czytać wiadomości przesyłanych za pomocą komunikatorów, ponieważ te korzystają z szyfrowania end-to-end. Z drugiej jednak strony ustawowa definicja komunikatu elektronicznego jest bardzo szeroka i obejmuje:
każdą informację wymienianą lub przekazywaną między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej; nie obejmuje on informacji przekazanej jako część transmisji radiofonicznych lub telewizyjnych transmitowanych przez sieć telekomunikacyjną, z wyjątkiem informacji odnoszącej się do możliwego do zidentyfikowania użytkownika otrzymującego informację.
Warto w tym miejscu zauważyć, że w obowiązującej obecnie ustawie Prawo telekomunikacyjne, w art. 179, jest mowa o obowiązku przedsiębiorców telekomunikacyjnych do zapewnienia dostępu uprawnionym podmiotom do przekazów telekomunikacyjnych, zdefiniowanych jako treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych. A tak brzmi ust. 3 pkt 1 wspomnianego art. 179:
3. Przedsiębiorca telekomunikacyjny, z zastrzeżeniem ust. 12 pkt 2, jest obowiązany do:
1) zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, zwanych dalej „warunkami dostępu i utrwalania”, umożliwiających jednoczesne i wzajemnie niezależne:
a) uzyskiwanie przez Policję, Biuro Nadzoru Wewnętrznego, Straż Graniczną, Inspektorat Wewnętrzny Służby Więziennej, Służbę Ochrony Państwa, Agencję Bezpieczeństwa Wewnętrznego, Służbę Kontrwywiadu Wojskowego, Żandarmerię Wojskową, Centralne Biuro Antykorupcyjne i Krajową Administrację Skarbową, zwane dalej „uprawnionymi podmiotami”, w sposób określony w ust. 4b, dostępu do:
– przekazów telekomunikacyjnych, nadawanych lub odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenie końcowe,
– posiadanych przez przedsiębiorcę danych związanych z przekazami telekomunikacyjnymi, o których mowa w ust. 9, art. 159 ust. 1 pkt 1 i pkt 3–5,
b) uzyskiwanie przez uprawnione podmioty danych związanych ze świadczoną usługą telekomunikacyjną i danych, o których mowa w art. 161,
c) utrwalanie przez uprawnione podmioty przekazów telekomunikacyjnych i danych, o których mowa w lit. a i b;
Brzmi to podobnie do art. 43 nowej ustawy, na co zwróciło uwagę Ministerstwo Cyfryzacji w odpowiedzi na naszą prośbę o komentarz w opisywanej sprawie.
Projekt ustawy Prawo komunikacji elektronicznej (PKE) nie rozszerza obecnych uprawnień służb, jeśli chodzi o dostęp do danych telekomunikacyjnych. Powiela on przepisy obowiązującej już ustawy Prawo telekomunikacyjne (PT), które określają ogólne ramy dotyczące retencji danych oraz dostępu do nich przez uprawnione podmioty.
Precyzyjne zasady dotyczące dostępu do danych przez poszczególne służby określają natomiast odrębne akty prawne. PKE bowiem tak samo jak PT, zawiera jedynie ogólne przepisy, które określają zasady dostępu do danych telekomunikacyjnych oraz odsyła do zasad i trybu dostępu do danych telekomunikacyjnych, jakie wskazują przepisy odrębne. Przepisy te regulują funkcjonowanie poszczególnych służb (np. Policji, ABW, CBA, SKW) i precyzują w jakich przypadkach i w jakim trybie służby mogą uzyskiwać dostęp do danych.
– przekazał redakcji TELEPOLIS.PL Mateusz Pawłowicz z Biura Komunikacji Ministerstwa Cyfryzacji
Wczytanie się w treść procedowanej ustawy Prawo komunikacji elektronicznej oraz obecnie obowiązującej ustawy Prawo telekomunikacyjne pozwala rzeczywiście dojść do wniosku, że w nowej ustawie są podobnie zapisy, jak w tej "starej". Jak wskazuje resort cyfryzacji, w części dotyczącej dostępu służb do danych, nadal są to ogólne zapisy, a szczegółów należy poszukiwać w przepisach, które regulują działanie tych służb. Nie zmienia to jednak faktu, że polskim władzom zawsze należy patrzeć na ręce. Tego samego zdania jest prawdopodobnie Rzecznik Praw Obywatelskich, który analizuje skierowany do Sejmu projekt.
Uprzejmie informuję, że obecnie Biuro RPO analizuje skierowany do Sejmu rządowy projekt ustawy Prawo komunikacji elektronicznej. W szczególności, zainteresowanie Rzecznika budzi kwestia dostępu do danych telekomunikacyjnych przez służby. Nie ulega wątpliwości, że regulacja taka powinna być zgodna z konstytucyjnym prawem jednostki do autonomii informacyjnej oraz standardem ochrony prywatności wynikającym z orzecznictwa TK oraz TSUE. W związku z tym, jeśli analiza prawna wykaże niespełnienie ww. wymogów, to Rzecznik rozważy skorzystanie ze środków przewidzianych w ustawie o RPO.
– przekazała redakcji TELEPOLIS.PL Anna Kabulska z Biura Rzecznika Praw Obywatelskich
Niebezpiecznik.pl twierdzi, że art 43. ustawy Prawo komunikacji elektronicznej, wbrew twierdzeniom niektórych dziennikarzy w niektórych artykułach, nie pozwala na większą inwigilację przez służby niż miało to miejsce dotychczas. Serwis dodaje również, że aktualnie, jeśli służby chcą skorzystać z dostępu do treści użytkowników, muszą posiadać zgodę sądu i po wejściu w życie PKE dalej taka zgoda będzie wymagana. A jak to będzie w rzeczywistości realizowane, powinniśmy się dowiedzieć w niedalekiej przyszłości.
Warto tu jeszcze dodać, że swoją poprawkę do ustawy Prawo komunikacji elektronicznej zgłaszał resort obrony narodowej, który chciał, by w art. 43 pojęcie "przedsiębiorstwo telekomunikacyjne" zostało zastąpione pojęciem "przedsiębiorca komunikacji elektronicznej". Wtedy pod zapisy tego kontrowersyjnego dla wielu osób artykułu podpadałyby również firmy stojące za komunikatorami internetowymi. Ministerstwo Obrony Narodowej w uzasadnieniu napisało, że przepisy w brzmieniu bez jego poprawek nie będą dotyczyły podmiotów świadczących publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującej numerów. Chodzi o komunikatory właśnie.
Pozostaje jednak pytanie, czy wiadomości przesyłane przez komunikatory nie mieszczą się czasem w ustawowej definicji komunikatu elektronicznego, zacytowanej wcześniej w tym artykule. Bo przecież są one przesyłane przez Internet, a zatem stanowią informację wymienianą lub przekazywaną między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej.
Temat na pewno będzie miał swój ciąg dalszy. Miejmy nadzieję, że pojawi się więcej odpowiedzi niż pytań. O komentarz w sprawie projektu ustawy Prawo komunikacji elektronicznej poprosiliśmy kilka firm i instytucji. Operatorzy telekomunikacyjni (Orange i Play) odesłali nas do zrzeszającej je Polskiej Izby Informatyki i Telekomunikacji. Oto, co nam napisała ta organizacja:
Obecnie projektowane przepisy dot. retencji danych i warunków dostępu i utrwalania (kontroli operacyjnej), co do zasady zostały przeniesione do Prawa komunikacji elektronicznej (PKE) z już obowiązujących przepisów ustawy Prawo telekomunikacyjne (Pt). Nie zmienia się też liczba 10 służb uprawnionych do dostępu do danych. W kontekście nowych przepisów warto jedynie dodać, że służby uzyskają większe kompetencje w zakresie uzyskiwania informacji o lokalizacji.
Analogicznie jak to było w ustawie Pt, Projektodawca w artykułach 43-51 projektu PKE - nakłada wyłącznie na przedsiębiorców telekomunikacyjnych zadania i obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego – tj. obowiązki związane z retencją danych czy kontrolą operacyjną.
Dostęp do danych z komunikatorów będzie zapewniany jak dotychczas przez przedsiębiorców świadczących usługi drogą elektroniczną. Należy pamiętać, że usługi komunikacji interpersonalnej niewykorzystujące numerów są jednocześnie usługami świadczonymi drogą elektroniczną i podlegają również ustawie o świadczeniu usług drogą elektroniczną, która również reguluje zasady przekazywania tych danych uprawnionym organom państwa.
Jako PIIT liczymy na proporcjonalne podejście do tego wrażliwego obszaru.
Warto dodać, że zakres danych, które przedsiębiorcy telekomunikacyjni będą przekazywali podmiotom uprawnionym będzie określony w rozporządzeniach wydanych do ustawy PKE. Projekty tych rozporządzeń dołączono do projektu PKE, jednak na dziś należy je traktować jako materiał informacyjny, gdyż po przyjęciu PKE projekty rozporządzeń będą poddawane jeszcze szerokim konsultacjom publicznym. Do czasu przyjęcia nowych aktów delegowanych będą obowiązywały dotychczasowe z ustawy Pt.
– wyjaśnił Andrzej Dulka, Prezes PIIT
Z kolei Witold Tomaszewski, czyli p.o. rzecznika prasowego Urzędu Komunikacji Elektronicznej napisał:
My tych danych ani nie udostępniamy, ani z nich nie korzystamy – więc pytanie nie jest do nas.
T-Mobile Polska przysłał na naszą prośbę krótki komentarz w opisywanej w tym artykule sprawie. Magentowy operator zwrócił uwagę na to, że projektowany art. 43 nie zawiera nic nowego, natomiast kontrowersje wzbudza art. 47 projektu ustawy Prawo komunikacji elektronicznej.
W odpowiedzi na pytania dotyczące PKE – prace nad ustawą Prawo Komunikacji Elektronicznej trwają już od kilku lat i T-Mobile, podobnie jak inne podmioty działające na rynku telekomunikacyjnym, brał udział w konsultacjach. Projektowany art. 43 nie jest nowością, ponieważ te same obowiązki narzuca dziś Prawo telekomunikacyjne. Natomiast pewne dyskusje wzbudza projektowany przepis art. 47, który utrzymuje obowiązek rejestracji i przechowywania przez 12 miesięcy tzw. metadanych o wszystkich użytkownikach. Tego typu retencja ogólna została uznana za niedozwoloną wyrokiem TSUE, na co zwracał uwagę w konsultacjach Minister ds. Europejskich.
– przekazało redakcji TELEPOLIS.PL Biuro Prasowe T-Mobile Polska
Oto, jak brzmi art. 47 procedowanej ustawy:
Art. 47. 1. Przedsiębiorca telekomunikacyjny, z wyłączeniem podmiotów, o których mowa w przepisach wydanych na podstawie art. 49 ust. 2, jest obowiązany na własny koszt:
1) zatrzymywać i przechowywać dane, o których mowa w art. 49 ust. 1, generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;
2) udostępniać dane, o których mowa w pkt 1, uprawnionym podmiotom, a także sądowi i prokuratorowi, zgodnie z wymaganiami określonymi w przepisach wydanych na podstawie art. 49 ust. 3, oraz na zasadach i w trybie określonych w przepisach odrębnych;
3) chronić dane, o których mowa w pkt 1, przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, zgodnie z przepisami ust. 5, art. 386–405 oraz podejmując środki techniczne i organizacyjne, o których mowa w art. 39 ust. 2 pkt 3.
2. Obowiązkom, o których mowa w ust. 1, podlegają dane dotyczące połączeń zrealizowanych i nieudanych prób połączeń, o których mowa w art. 386 ust. 1 pkt 5.
3. Obowiązki, o których mowa w ust. 1, realizowane są w sposób, który nie powoduje ujawniania komunikatu elektronicznego.
4. Udostępnianie danych, o którym mowa w ust. 1 pkt 2, może nastąpić za pomocą środków komunikacji elektronicznej, chyba że odrębne przepisy stanowią inaczej.
5. W celu ochrony danych, o której mowa w ust. 1 pkt 3, przedsiębiorca telekomunikacyjny stosuje właściwe środki techniczne i organizacyjne oraz zapewnia dostęp do tych danych jedynie upoważnionym pracownikom
I jeszcze art. 49 ust, dla rozjaśnienia, o czym jest mowa w art. 47:
Art. 49. 1. Obowiązkiem, o którym mowa w art. 47 ust. 1, objęte są dane dotyczące publicznie dostępnych usług telekomunikacyjnych niezbędne do:
1) jednoznacznego zidentyfikowania zakończenia sieci, telekomunikacyjnego urządzenia końcowego oraz użytkownika końcowego:
a) inicjującego połączenie,
b) do którego kierowane jest połączenie;
2) określenia:
a) daty i godziny połączenia oraz czasu jego trwania,
b) rodzaju połączenia,
c) lokalizacji telekomunikacyjnego urządzenia końcowego.
2. Minister właściwy do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw wewnętrznych oraz po zasięgnięciu opinii Ministra – Koordynatora Służb Specjalnych, jeżeli został on powołany, określi, w drodze rozporządzenia:
1) szczegółowy wykaz danych, o których mowa w ust. 1,
2) rodzaj przedsiębiorców telekomunikacyjnych niepodlegających obowiązkowi zatrzymywania i przechowywania tych danych
– mając na uwadze rodzaj wykonywanej działalności telekomunikacyjnej, potrzebę unikania wielokrotnego zatrzymywania i przechowywania tych samych danych, ich efektywnej analizy oraz optymalizację kosztów ponoszonych przez przedsiębiorców telekomunikacyjnych.
3. Prezes Rady Ministrów określi, w drodze rozporządzenia, szczegółowy sposób udostępnienia danych oraz wymagania dotyczące rodzaju, struktury, sposobu zapisu oraz elektronicznego formatu udostępnianych danych, o których mowa w ust. 1, mając na uwadze zapewnienie udostępniania tych danych podmiotom, o których mowa w art. 47 ust. 1 pkt 2, w jednolitej formie, pozwalającej na ich efektywną analizę i optymalizację nakładów finansowych na jej przeprowadzenie.
Zobacz: Rząd prześwietli smartfony Polaków. Jest projekt ustawy
Zobacz: Rząd prześwietli smartfony Polaków. UODO krytykuje nowe regulacje
Źródło zdjęć: paparazzza / Shutterstock.com, Marian Szutiak / Telepolis.pl
Źródło tekstu: sejm.gov.pl, Niebezpiecznik.pl, Play, Orange, UKE, Ministerstwo Cyfryzacji, RPO, PIIT
